L'FBI installa spyware anti-terrorismo
di redazionale - 24/07/2007
 Il mese scorso, l'FBI ha utilizzato un nuovo tipo di spyware installato a distanza, per indagare su chi stesse inviando minacce di attentati via email ad un liceo in prossimità di Olympia, Washington. Gli agenti federali hanno ottenuto, il 12 giugno, un'ordinanza della magistratura per inviare un programma spyware, denominato CIPAV, ad un account MySpace che si sospettava venisse usato dall'autore delle minacce. Il software era progettato per inviare all'FBI, una volta installato, l'indirizzo IP del computer del sospetto, altre informazioni trovate sul suo PC e, soprattutto, la traccia delle connessioni in uscita dall'utente. L'indagato, Josh Glazebrook, ex studente del liceo Timberline, è stato condannato questa settimana a 90 giorni di carcere minorile, a seguito della sua ammissione di colpevolezza di aver minacciato attacchi dinamitardi e di altre accuse. Mentre si è speculato ampiamente su come possa l'FBI inviare spyware in via telematica, questo sembra essere il primo caso che rivela come questa tecnica venga applicata praticamente. Già nel 2001 l'FBI aveva confermato di star lavorando su di un virus chiamato Magic Lantern, ma da allora ha praticamente taciuto sull'argomento. Negli altri due casi su cui si è saputo che gli investigatori federali usassero spyware (i casi Scarfo e Forrester), degli agenti erano fisicamente entrati di nascosto negli uffici per installare dei key logger [software progettati per registrare tutto l'input da tastiera, NdT]. Una deposizione di 18 pagine, effettuata presso la corte federale dall'agente dell'FBI Norm Sanders il mese scorso e messa a disposizione di CNET News.com, afferma che i dettagli dello spyware governativo rimangono segreti. L'FBI chiama il suo spyware Computer and Internet Protocol Address Verifier, o CIPAV. "La natura esatta dei comandi, dei processi, delle funzionalità e delle loro configurazioni è segreta, in quanto si tratta di strumenti investigativi essenziali per l'applicazione della legge, e la loro divulgazione potrebbe compromettere altre indagini in corso e/o future", scrive Sanders. Il fatto che compaia un riferimento al registro del sistema operativo indica che CIPAV prende di mira Microsoft Windows, come ci si può aspettare data la sua diffusione sul mercato. Altri dati inviati all'FBI comprendono il tipo e numero di serie del sistema operativo, lo username di autenticazione sullo stesso, e l'URL al quale si era "precedentemente connesso". News.com ha pubblicato la deposizione di Sanders e un riassunto dei risultati del CIPAV che l'FBI ha consegnato al giudice James Donohue. Ci sono state indicazioni che l'FBI abbia adottato questa tecnica in passato. Su di un articolo del Minneapolis Star Tribune del 2004, si leggeva che l'ufficio governativo aveva usato un "Internet Protocol Address Verifier", che era stato inviato all'indagato via email. Tuttavia, i bloggers di allora (col senno di poi, forse a torto) lo liquidarono come una semplice immagine esterna inclusa dall'FBI in un messaggio di posta in formato HTML, noto anche come Web Bug. Scoprire chi c'è dietro un account MySpace Un aspetto interessante è che l'ufficio dello sceriffo di contea venne informato del profilo MySpace -- timberlinebombinfo -- quando il suo creatore tentò di persuadere altri studenti ad includerne il link e almeno un genitore si rivolse alla polizia. L'ufficio dello sceriffo ha dichiarato che 33 studenti avevano ricevuto richiesta di includere l'indirizzo di "timberlinebombinfo" sulla propria pagina MySpace. Inoltre, l'autore inviava una serie di messaggi provocatori da indirizzi di posta Google Gmail (tra cui dougbrigs@gmail.com) nella settimana del 4 giugno. Un estratto significativo diceva "Ci sono 4 bombe piazzate nel liceo Timberline. Esploderanno a 5 minuti l'una dall'altra a partire dalle 9:15". L'FBI rispose facendosi consegnare i log di Google e MySpace. Entrambi puntavano all'indirizzo IP 80.76.80.103, che si scoprì poi essere un computer "bucato" in Italia. Fu allora che l'FBI decise di dispiegare l'artiglieria pesante: CIPAV. "Sono giunto a conclusione che l'uso di un CIPAV sull'account Myspace 'Timberlinebombinfo' possa assistere l'FBI nel determinare l'identità dell'utente della macchina compromessa", è scritto nella deposizione di Sanders. CIPAV sarebbe stato installato "attraverso un programma di messaggi elettronici da un account controllato dall'FBI", il che probabilmente significa a mezzo email. Per consegnare un file infettato da CIPAV si potrebbero usare o email oppure un servizio di messaggistica istantanea, ma il linguaggio usato in questa parte della deposizione fa pendere l'ago della bilancia verso le email. Dopo che CIPAV è stato installato invierà al governo, a detta dell'FBI, l'indirizzo IP del computer, l'indirizzo MAC, "altre variabili, e alcune informazioni del registro", dopodiché registrerà gli indirizzi IP visitati nei 60 giorni successivi, ma non il contenuto delle comunicazioni. Mettendo per un attimo da parte la questione legale, c'è un punto chiave che rimane un mistero: supponendo che l'FBI invii spyware via email, come avrebbe fatto il programma a superare le difese antispyware e ad autoinstallarsi come malware? Nel documento del tribunale non vengono nominate difese antivirus, questo è vero, ma l'autore delle minacce aveva effettuato anche attacchi di tipo "denial of service" verso i computer della scuola, il che, unito all'aver bucato il server in Italia, lascia immaginare una certa padronanza tecnica. Una possibilità è che l'FBI abbia persuaso i produttori di software per la sicurezza a sorvolare su CIPAV e a non avvisare gli utenti della sua presenza. Un'altra è che l'FBI abbia individuato (o pagato qualcuno per rivelare) delle vulnerabilità sconosciute di Windows o di software di sicurezza per Windows, che consentirebbero l'installazione di CIPAV. Dal punto di vista dell'FBI, questa sarebbe la possibilità più desiderabile, dato che ovvierebbe alla necessità di fare pressione su decine e decine di produttori di software, alcuni dei quali con sede all'estero, affinché lascino passare CIPAV. Qualche giorno fa, News.com ha intervistato 13 produttori di software di sicurezza e tutti hanno affermato che l'individuazione dello spyware di polizia fa parte della loro politica. Alcuni, tuttavia, si sono dichiarati disposti ad ottemperare ad un'ordinanza del tribunale di ignorare il cosiddetto "policeware", e né McAfee né Microsoft farebbero sapere se hanno ricevuto o meno tale ordinanza. I risultati della nostra indagine li trovate parola per parola qui. Titolo originale:"FBI remotely installs spyware to trace bomb threat" Fonte: http://news.com.com Link 18.07.2007 Traduzione per www.comedonchisciotte.org a cura di KURTZ |